En marzo de 2020 la Organización Mundial de la Salud (OMS) comunicó que la pandemia vendría acompañada de acciones de desinformación y cibercriminalidad. El impacto del cibercrimen durante la pandemia ha demostrado un virus igual de peligroso para la seguridad de la información, que busca hacer daño y lucrarse a costa de la privacidad de las organizaciones, la cual lleva el sistema informático e infraestructuras críticas al límite.
La seguridad de la información en los servicios de Salud con lleva una actividad imparable de 24x7 los 365 días del año, contemplando sistemas de información en procesos de administración, medios de diagnósticos y clínicos de los pacientes, con un alto componente informatizado y complejo, incluyendo una extensa red de dispositivos, equipos y sistemas, donde muchas veces están conectados con sistemas externos y conformados en entornos críticos que pueden conducir a un camino fácil de los ciberdelincuentes hacia la información clínica de los pacientes.
La crisis informática del sector de la Salud
Los ciberdelincuentes siguen atacando las instituciones de Salud a pesar de que están siendo devastadas por la pandemia, transformando el sector en uno de los más vulnerables. Las razones de mayor peso que convierten el sector de la Salud en blanco fácil para los ciberdelincuentes:
No contar con un awareness en ciberseguridad para los profesionales de la salud
Las múltiples vulnerabilidades por el uso de software obsoletos
La multiplicidad de dispositivos IoT que se utilizan
La sensibilidad de la información que manejan sin infraestructuras sostenibles y seguras
La gravedad de la brecha de seguridad en el ataque informático, puede paralizar el sistema de Salud completo, dejando a un médico sin acceso a los registros y sin la posibilidad de utilizar métodos de evaluación informáticos debido al ciberataque. Hay que tener en cuenta que los Hospitales no solo manejan reportes médicos e información personal de pacientes; también manipulan la información confidencial, como el desarrollo farmacéutico, datos genéticos, resultados de pruebas de tratamientos experimentales e investigaciones médicas que intervienen grandes costos de inversión. Asegurar dicha información es una medida que deben adoptar las organizaciones para prevenir, detectar y / o mitigar las consecuencias de la acción.
Ransomware en los servicios de Salud: una amenaza continua
Para nadie es un secreto que en este último tiempo, los ataques informáticos se han percibido mucho más sofisticados.
El porcentaje de ataques dirigidos a entidades de salud representó el 41%, siendo el más alto entre todos los sectores: Educación, Finanzas y Servicios Profesionales en general.
Solo en el primer trimestre del año 2019 un informe de Proofpoint revelo que las organizaciones de salud aumentó el objetivo de ataques de "ransomware", recibiendo 43 correos electrónicos falsos, lo que representa un gran salto del 300% respecto al mismo trimestre del año anterior. En las compañías de salud afectadas, 65 personas fueron el blanco de correos electrónicos falsificados, y el 95% de esas compañías registraron correos electrónicos falsificando sus propios dominios de confianza.
Ya en 2020, los nuevos ataques de ransomware están siendo operados por humanos, utilizan la "fuerza bruta" contra el servidor de gestión de sistemas de los Hospitales. El 66% de las organizaciones de Salud han sufrido una violación de datos en los últimos meses, estos ataques con ransomware se siguen llevando a cabo en los diferentes Hospitales alrededor del mundo.
BleepingComputer publicó el 18 de marzo, un informe después de contactar a siete operadores de ransomware y preguntarles si seguirían atacando Hospitales a pesar de la pandemia, solo Maze y DoppelPaymer, indicaron que ya no dirigirían ataques a institutos de Salud (dejando las acciones de 5 operadores delincuenciales a la deriva).
Cointelegraph informó que el 30 de marzo los operadores del Ransomware Ryuk atacaron Hospitales, involucrados con al menos 10 casos dirigidos a organizaciones de atención médica durante marzo, incluido un ataque a una red de 9 Hospitales; el 7 de mayo se informó que el grupo de hackers infectaron la infraestructura IT del Hospital privado más grande de Europa con sede en Alemania Fresenius, usando un ransomware conocido como Snake.
Ransomware Snake
Según el Centro de Operaciones de DigiSOC, fue detectado por primera vez en enero del 2020. "Snake" es un ransomware escrito en código GoLang con un nivel de ofuscación alto, que busca comprometer sistemas de control industrial en sistemas operativos windows, atacando a Fresenius y en junio reporta ataques hacia Honda y la división ENEL de Argentina.
Este ultimo ataque fue dirigido, debido a la ejecución de manera controlada con una muestra del ransomware, identificando que esta amenaza busca la IP del dominio mds.honda.com y de no poder encontrarla, se cierra. Conozca como funciona y que medidas debe tener en cuenta su organización para prevenirlo
Implemente medidas preventivas en su organización
Después de que el famoso Ransomware Wannacry paralizara las instalaciones médicas y otras organizaciones en todo el mundo, el sector de la Salud parece haber tomado medidas preventivas.
Si bien los mecanismos de ataque cibernético contra las entidades de salud varían y evolucionan, como el hilo común es atacar a las personas y no solo a la tecnología; para poder combatirlos, requiere un enfoque nuevo de seguridad y centrado en los individuos. Según el FBI, entre el 70% y el 80% de los ataques de ransomware empiezan afectando la conexión RDP, por ello es importante implementar medidas preventivas para protegerlo debidamente.
Si recurrimos a una herramienta específica, es esencial utilizar la autenticación Multi-factor para empezar la sesión, donde debemos lograr en evitar a cualquier costa que los cibercriminales entren a los sistemas de sus víctimas gracias a las vulnerabilidades y brechas en los sistemas, aplicando parches necesarios para finalizar acciones delincuenciales,
Todas las organizaciones están expuestas a ciberataques como usuarios de la red, más cierto es, que existen entidades más vulnerables que otras, sobre todo con infraestructuras críticas que prestan servicios básicos a los ciudadanos y no pueden dejar de funcionar en ningún momento, por lo mismo, uno de los riegos está en sus sistemas informáticos desactualizados, haciendo que los ciberdelincuentes tengan más acceso a estos sistemas obsoletos y vulnerables, sabiendo que pagarán el rescate que pidan.
La seguridad que deben tener dichos sistemas, debe estar ligado con profesionales y mecanismos preparados para atacar a los ciberdelincuentes, empezando claramente con la concienciación necesaria a nivel de compañía y seguidamente de usuario. Cada día son más necesarios los profesionales y expertos en ciberseguridad, enfocados en Análisis e Ingeniería para la protección de los activos digitales de la organización.
Fuente: DigiSOC - Centro de Operaciones de Seguridad (idSOC) y Red Queen Lab Report - RQL